深信服应用防火墙参数

深信服虚拟化Web应用防火墙云WAF 用户手册产品版本8.0.28文档版本 01发布日期2021-03-12深信服科技股份有限公司版权所有©深信服科技股份有限公司 2020。

保留一切权利。

除非深信服科技股份有限公司（以下简称“深信服公司”）另行声明或授权，否则本文件及本文件的相关内容所包含或涉及的文字、图像、图片、照片、音频、视频、图表、色彩、版面设计等的所有知识产权（包括但不限于版权、商标权、专利权、商业秘密等）及相关权利，均归深信服公司或其关联公司所有。

未经深信服公司书面许可，任何人不得擅自对本文件及其内容进行使用（包括但不限于复制、转载、摘编、修改、或以其他方式展示、传播等）。

注意您购买的产品、服务或特性等应受深信服科技股份有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，深信服科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

前言关于本文档本文档针对深信服虚拟化Web应用防火墙产品，介绍了云WAF的架构、特性、安装和运维管理。

产品版本本文档以下列产品版本为基准写作。

后续版本有配置内容变更时，本文档随之更新发布。

读者对象本手册建议适用于以下对象：⚫网络设计工程师⚫运维人员符号约定在本文中可能出现下列标志，它们所代表的含义如下。

在本文中会出现图形界面格式，它们所代表的含义如下。

修订记录修订记录累积了每次文档更新的说明。

最新版本的文档包含以前所有文档版本的更新内容。

资料获取您可以通过深信服官方网站获取产品的最新资讯：获取安装/配置资料、软件版本及升级包、常用工具地址如下：深信服科技深信服技术服务技术支持用户支持邮箱：*******************.cn技术支持热线电话：400-630-6430（手机、固话均可拨打）深信服科技服务商及服务有效期查询：https:///plugin.php?id=service:query意见反馈如果您在使用过程中发现任何产品资料的问题，可以通过以下方式联系我们。

产品介绍深信服AF深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。

在安全策略制定方面，区域别于传统防火墙五元组安全策略，深信服NGAF可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。

同时，深信服NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。

产品功能列表项目具体功能部署方式支持路由，透明，旁路，虚拟网线，混合部署模式；实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等设备资实时监控源信息；提供安全事件信息，包括最近安全事件、服务器安全事件、终端安全事件等，事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等；提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理；网络适应性支持ARP代理、静态ARP绑定，配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP客户端；支持SNMP v1，v2，v3，支持SNMP Trap；支持静态路由、RIP v1/2、OSPF、策略路由；支持链路探测，端口聚合，接口联动；包过滤与状态检测提供静态的包过滤和动态包过滤功能；支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP；NAT地址转换支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；可配置支持地址转换的有效时间；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等抗攻击特性支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能；支持CC攻击防护；IPSEC VPN 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法，并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法；支持各种NAT网络环境下的VPN组网；支持第三方标准IPSec VPN进行对接；*总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证IPSecVPN连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略；SSL VPN 支持SSL VPN；应用访问控制策略支持对1000种以上应用、2500种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议；支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定；APT检测内置超过60万的病毒，木马，间谍软件等恶意软件特征库，并且在不断的持续更新特征内容；支持通过安全云实现虚拟沙盒动态检测技术。

深信服是领先的前沿网络设备供应商，旨在通过创新、技术领先的解决方案帮助用户提升互联网带宽价值。

目前深信服的用户已超过14，000家，并在中国以外的多个国家和地区设立了分支机构，用户遍布全球。

咨询电话：800－830－9565服务电话：800－830－6430公司网址：
深信服AD系列应用交付产品打破国外厂商垄断，在同等投入水平下，除获得链路、服务器二合一负载
路由模式部署网桥模式部署
路由器深信服AD系列应用交付设备防火墙
路由器
防火墙
深信服AD 应用交付设备
系列
深信服AD系列应用交付设备产品参数一览表。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

深信服AF防火墙第二层透明模式下配置在配置深信服AF防火墙第二层透明模式之前，首先需要进行以下准备工作：1.网络拓扑规划：确定防火墙的放置位置和与其他网络设备的连接方式，以便合理规划网络流量的监控和策略的下发。

2.IP地址规划：为防火墙的透明模式接口和管理口分配合适的IP地址，并与网络中的其他设备进行地址配置的协调。

3.网络访问策略：根据实际需求和网络安全要求，定义合适的网络访问策略，包括访问控制列表(ACL)、安全策略、NAT等，以确保网络流量的安全性和合规性。

下面是深信服AF防火墙第二层透明模式的配置步骤及相关解释：1.登录防火墙：使用浏览器访问深信服AF防火墙的管理页面，并使用管理员账号进行登录。

2.配置接口：选择"网络"-"接口"，点击“新增”，配置透明模式接口的相关参数，包括名称、物理接口、IP地址、子网掩码等。

3.绑定端口：选择"网络"-"端口"，选择待绑定的物理接口，点击“绑定”，将透明模式接口与物理接口进行绑定。

4.配置VLAN：如果需要对网络流量进行VLAN隔离，选择"网络"-"VLAN"，点击“新增”，配置VLAN的相关参数，包括名称、VLANID、IP 地址等。

5.配置物理链路：选择"网络"-"链路"，点击“新增”，配置物理链路的相关参数，包括名称、绑定接口、链路类型等，以将不同的物理接口绑定为一组进行负载均衡和冗余备份。

6.配置网络ACL：选择"策略"-"网络ACL"，点击“新增”，配置ACL规则，包括源IP、目的IP、协议、端口等，以定义允许或禁止的网络流量。

7.配置安全策略：选择"策略"-"安全策略"，点击“新增”，配置安全策略规则，包括源地址、目的地址、应用、行为等，以定义网络流量的安全检查和处理方式。

深信服防火墙路由接口配置案例路由接口的典型应用环境是将SANGFOR NGAF 设备以路由模式部署在公网出口，代理内网上网，像一个路由器一样部署在网络中，如下图所示：配置案例：某用户网络是跨三层的环境，购买NGAF 设备打算部署在公网出口，代理内网用户上网，公网线路是光纤接入固定分配IP 的。

第一步：通过管理口(ETH0) 的默认IP 登录设备。

管理口的默认IP 是10.251.251.251/24 ，在计算机上配置一个相同网段的IP 地址，通过https://10.251.251.251 登录设备。

第二步：配置外网接口，通过『网络』→『接口/区域』，点击需要设置成外网接口的接口，如eth2，出现以下页面：接口[类型]选择路由。

[基本属性]可以设置是否为WAN 口和允许PING。

如果是WAN 口，是否与IPSEC VPN 出口线路匹配。

连接上行链路的接口需要勾选WAN 口。

[区域]选择接口eth2 所属的区域。

区域需要提前设置，本例将ETH2 划入WAN 区域，对于区域的设置请参考章节3.3.1.5 区域设置。

选择配置IPv4 地址：[连接类型]包括静态IP、DHCP、ADSL 拨号三种，根据该线路的特征进行配置，如果选择静态IP，需要填写好IP 地址/掩码以及下一跳网关；如果该接口是DHCP 自动获得地址，则设置DHCP；如果线路是ADSL 拨号，则配置好拨号所需的用户名、密码和其他拨号参数。

静态IP 地址可以填写成“IP/掩码”和“IP/掩码-HA”两种形式，后一种形式表示同步网口配置时，不同步IP 地址，“IP/掩码-HA”的形式适用于NGAF 设备双机部署的环境。

本案例中外网接口连接的是静态IP 的光纤线路，所以选择静态IP，并且配置ISP 提供给该光纤线路的公网IP 地址和下一跳网关。

[线路带宽]设置公网链路的上下行带宽。

点击可以修改带宽单位，包括KB/s，MB/s，GB/s。

[链路故障检测]用于检测链路的好坏。

深信服防火墙手册概述在当今数字化信息时代，网络安全问题日益突出，各种网络攻击层出不穷，企业和个人网络环境面临越来越大的风险。

为了保护网络安全，深信服防火墙成为了一个重要的解决方案。

本手册将向您介绍深信服防火墙的基本功能、设备布署和配置方式，以及常见问题的解决方法。

一、深信服防火墙的基本功能深信服防火墙作为一种网络安全设备，具有多种功能，以保护企业网络环境的安全。

以下是深信服防火墙的主要功能：1. 包过滤深信服防火墙可以实现对网络数据包的过滤和检测，根据预设的规则对流量进行筛选，阻止来源不明或可能带有威胁的数据包进入企业网络。

2. 访问控制深信服防火墙可以根据企业网络的访问策略，通过控制访问规则和权限，限制用户对特定网络资源的访问，提升网络安全性。

3. 虚拟专用网络（VPN）支持深信服防火墙支持VPN功能，可以通过建立安全的隧道，实现远程用户与企业内部网络之间的加密通信，保证数据传输的机密性和完整性。

二、深信服防火墙的设备布署深信服防火墙的设备布署是确保其有效性的重要一环。

以下是几种常见的深信服防火墙设备布署方式：1. 边界布署将深信服防火墙放置在企业网络与外部网络之间，作为信息流入和流出的第一道防线，有效控制外部流量对内部网络的访问。

2. 内部分割布署将深信服防火墙部署在企业内部网络的不同区域之间，实现内部流量的隔离与管理，避免内部恶意流量的传播。

3. 服务器隔离布署将深信服防火墙部署在企业服务器与外部网络之间，通过严格控制服务器访问规则，保护服务器免受来自外部的攻击和非法访问。

三、深信服防火墙的配置方式深信服防火墙的配置是保证其有效性的重要环节，根据具体环境和需求，可以采用以下配置方式：1. 基本配置通过指定防火墙的基本参数，如IP地址、子网掩码和网关等，实现防火墙与网络的连接。

2. 访问策略配置配置访问控制规则，根据企业网络实际需求，限制不同用户对特定资源的访问权限和流量的传输方式。

3. 安全服务配置配置网络层和应用层的安全服务，如包过滤、入侵检测和防病毒等功能，保障网络环境的安全。

深信服防火墙手册
深信服防火墙是一款网络安全设备，用于保护企业网络免受恶意攻击和未经授权的访问。

以下是深信服防火墙的使用手册的主要内容：
1. 产品简介：介绍深信服防火墙的功能、特点和适用场景。

2. 硬件和软件安装：指导如何正确安装深信服防火墙的硬件设备和软件系统。

3. 初始配置：介绍如何进行深信服防火墙的初始配置，包括网络设置、管理账号和密码、时间设置等。

4. 管理界面：详细说明深信服防火墙的管理界面，包括登录、主界面布局、菜单导航等。

5. 安全策略配置：指导如何配置深信服防火墙的安全策略，包括访问控制规则、应用控制、VPN设置等。

6. 日志和报表：介绍如何查看深信服防火墙的日志和生成报表，以便及时监控网络活动和发现潜在安全问题。

7. 用户认证和权限管理：详细说明深信服防火墙的用户认证方式和权限管理功能，以及如何添加、删除和管理用户。

8. 网络监控和优化：指导如何使用深信服防火墙的网络监控和优化功能，包括流量统计、带宽管理、负载均衡等。

9. 系统维护和升级：介绍如何进行深信服防火墙的系统维护和升级，包括备份和恢复配置、升级固件和补丁等。

10. 故障排除：提供常见问题和故障的解决方案，以帮助用户
快速解决深信服防火墙的故障和错误。

此外，深信服还会根据产品版本和用户需求不断更新手册内容，确保用户能够充分理解和正确使用深信服防火墙。

在实际使用过程中，用户可以参考手册进行操作，同时也可以联系深信服的技术支持团队获取更多帮助和支持。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-GenerationApplicationFirewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

深信服AF设备配置
深信服防⽕墙AF配置
1.深信服防⽕墙AF设备出⼚manage⼝ip地址为10.251.251.251，⾸先给⾃⼰电
脑配置同⽹段ip地址10.251.251.200，把AF设备manage⼝和笔记本⽤⽹线连起来，打开浏览器输⼊https://10.251.251.251,输⼊⽤户名：admin、密码：admin，登录WEB控制台，
2.防⽕墙⽹关部署，新建2个三层区域，分别为WAN区域和LAN区域，选择
接⼝eth1和eth2。

3.配置⽹络接⼝，wan区域eth1⼝配置公⽹ip地址，lan区域配置内⽹规划ip 地址
4.配置默认路由和去往内⽹的回包路由
5.配置源地址转换，代理内⽹⽤户上⽹，转换为出接⼝ip地址
6.防⽕墙默认拒绝所有，应⽤控制策略放通。

7.配置僵⼫⽹络，内⽹pc上⽹防护。

8.配置IPS防护内⽹客户端
9.配置流量管控，对内⽹pc带宽限制。

1、配置虚拟线路，填写真实带宽
10.配置流控，⾸先启⽤流控，内⽹⽤户p2p下载和在线影视限制50M。